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Compliance und Hinweisgeberschutz bei Toll Collect 


Vorbemerkung der Fragesteller 

Im Sommer 2018 griff die Wochenzeitung die „DIE ZEIT“ Berichte eines ehe¬ 
maligen Mitarbeiters der Lkw-Maut-Betreibergesellschaft Toll Collect auf, de¬ 
nen zufolge Toll Collect gegenüber dem Bund hunderte Millionen Euro zu viel 
abgerechnet haben soll. Die Berichterstattung der Journalisten legte offen, dass 
der Hinweisgeber durch die Anzeige der entdeckten Unregelmäßigkeiten bei der 
Abrechnung zunächst mit internen Repressalien zu kämpfen hatte und schluss- 
endlich seinen Job bei Toll Collect als Folge seines Verhaltens verlor (www. 
zeit.de/2018/33/toll-collect-lkw-maut-staat). 

Whistleblower, also Personen, die helfen, Missstände, Korruption oder Geset¬ 
zesverstöße in Politik, Wirtschaft und Gesellschaft aufzudecken, genießen hier¬ 
zulande kaum Schutz. Das „Handelsblatt“ berichtete am 26. Juli 2018, dass es 
seit 2008 sechs Gesetzesinitiativen gegeben habe, die alle gescheitert seien 
(Handelsblatt v. 26. Juli 2018, „Bundesregierung will keinen speziellen Whist¬ 
leb lower-Schutz in Deutschland“). Die EU-Kommission bezifferte 2018 den fi¬ 
nanziellen Schaden aufgrund des fehlenden Schutzes von Hinweisgebem allein 
im öffentlichen Auftragswesen EU-weit auf bis zu 9,6 Mrd. Euro pro Jahr. Die 
EU-Kommission schätzt darüber hinaus die durch Betrug und Korruption im 
Zusammenhang mit dem EU-Haushalt bedingten jährlichen Einnahmenausfälle 
auf bis zu 256 Mrd. Euro (https://eur-lex.europa.eu/resource. html?uri=cellar: 
a4e61 a49-46d2-11 e8-beld-0Iaa75ed71 a 1.0002.02/DOC1 &format=PDF). Ge¬ 
rade in den öffentlichen bzw. staatlichen Unternehmen des Bundes kommt der 
Bundesregierung daher eine besondere Verantwortung zu, Hinweisgeberschutz 
zu gewährleisten. 

Seit 1. September 2018 befindet sich Toll Collect im Besitz des Bundes. Als 
Eigentümer von Toll Collect kann der Bund nun das Unternehmen in seinem 
Sinne führen. Die Grundsätze guter Unternehmens- und Beteiligungsführung 
bilden die Grundlage für eine verantwortungsvolle Führung der Beteiligungen 
des Bundes an Unternehmen in privater Rechtsform. Nach der Antwort des Bun¬ 
desministeriums für Verkehr und digitale Infrastruktur auf die Schriftliche 
Frage 86 der Abgeordneten Dr. Manuela Rottmann auf Bundestagsdrucksa- 
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che 19/6828 sieht sich die Bundesregierung diesen Grundsätzen guter Unter¬ 
nehmens- und Beteiligungsführung verpflichtet, solange der Bund Eigentümer 
von Toll Collect ist. Inzwischen hat das Bundesverkehrsministerium entschie¬ 
den, dass Toll Collect dauerhaft im Besitz des Bundes verbleiben soll. Die Im¬ 
plementierung eines wirksamen Hinweisgebers - gerade vor dem Hintergrund 
der Berichterstattung aus dem Sommer 2018 - ist nach Ansicht der Fragestel¬ 
lenden eine besondere Verantwortung der Bundesregierung. 

Compliancesysteme sind mittlerweile wichtige Bestandteile erfolgreicher und 
verantwortungsvoller Untemehmensführung. Sie bieten die Möglichkeit, Wirt¬ 
schaftskriminalität frühzeitig zu erkennen und zu unterbinden. 


Compliance und Grundsätze guter Unternehmens- und Beteiligungsführung 

1. Welche Compliance-Anforderungen gelten für Toll Collect seit dem 1. Sep¬ 
tember 2018? 

2. Auf welche Weise stellt das Bundesministerium für Verkehr und digitale In¬ 
frastruktur (BMVI) - bezugnehmend auf die Antwort der Bundesregierung 
auf die Schriftliche Frage 86 der Abgeordneten Dr. Manuela Rottmann auf 
Bundestagsdrucksache 19/6828 - sicher, dass bei Toll Collect seit dem 
1. September 2018 die Grundsätze guter Unternehmens- und Beteiligungs¬ 
führung im Bereich des Bundes eingehalten werden? 

Die Fragen 1 und 2 werden aufgrund ihres Sachzusammenhangs gemeinsam be¬ 
antwortet. 

Im Zuge der Übernahme der Geschäftsanteile an der Toll Collect GmbFI durch 
den Bund wurden die gesellschaftsrechtlichen vertraglichen Grundlagen der Toll 
Collect GmbH an die Grundsätze guter Unternehmens- und Beteiligungsfuhrung 
im Bereich des Bundes angepasst. Des Weiteren hat BMVI der Toll Collect 
GmbH mit Gesellschafterbeschluss aufgegeben, die Grundsätze guter Unterneh¬ 
mens- und Beteiligungsführung im Bereich des Bundes und die Korruptionsprä¬ 
ventionsrichtlinie des Bundes zur Anwendung zu bringen und zu beachten. 


3. Ist Toll Collect von den Grundsätzen des Public Corporate Govemance Ko¬ 
dex des Bundes seit dem 1. September 2018 abgewichen und hat das nach¬ 
vollziehbar in einem Bericht veröffentlicht (vgl. Grundsätze guter Unterneh¬ 
mens- und Beteiligungsführung im Bereich des Bundes, Teil A. Public Cor¬ 
porate Govemance Kodex des Bundes, 1.4. Verankerung und Compli- 
anceprogramm gemäß Prüfungsstandard 980 des Instituts der Wirtschafts¬ 
prüfer), und wenn ja, an welchen Stellen? 

Die Toll Collect GmbH wird hierzu entsprechend der Vorgabe aus dem Public 
Corporate Govemance Kodex des Bundes jährlich einen Bericht veröffentlichen. 


Hinweisgeberschutz 

4. Inwiefern hat die Bundesregierung seit dem 1. September 2018 daraufhin¬ 
gewirkt, dass bei Toll Collect angemessene Vorkehrungen getroffen werden, 
damit es den Mitarbeitern und Personen in einer vergleichbaren Position un¬ 
ter Wahrung der Vertraulichkeit ihrer Identität möglich ist, Verstöße gegen 
geldwäscherechtliche Vorschriften und andere geltende Gesetze sowie Wirt¬ 
schaftskriminalität und geeigneten Stellen zu berichten und unethisches, aber 
nicht rechtswidriges oder gar strafbares Verhaltens aufzudecken? 
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5. Inwiefern hat die Bundesregierung auf die Medienberichterstattung zum 
Umgang mit einem Hinweisgeber bei Toll Collect in „DIE ZEIT“ vom 
8. August 2018 (www.zeit.de/2018/33/toll-collect-lkw-maut-staat) reagiert, 
und nach dem 1. September 2018 die Compliance-Abteilung bei Toll Collect 
insofern so umstrukturiert, dass in Zukunft ein effektiver Hinweisgeber¬ 
schutz gewährleistet ist? 

8. Welche anderweitigen Maßnahmen hat die Bundesregierung seit der Über¬ 
nahme von Toll Collect am 1. September 2018 ergriffen, um den Hinweis¬ 
geberschutz bei Toll Collect zu verbessern? 

Die Fragen 4, 5 und 8 werden aufgrund ihres Sachzusammenhangs gemeinsam 
beantwortet. 

Die Toll Collect GmbFI hat im Jahr 2017 einen Ombudsmann eingesetzt, dem 
Unternehmens interne und untemehmensexteme Flinweisgeber anonym Flinweise 
auf Compliance-Verstöße geben können. Zudem besitzt die Toll Collect GmbFI 
einen Compliance-Beauftragten, dem ebenfalls anonym Compliance-Verstöße 
gemeldet werden können. Die Toll Collect GmbFI hat ein wirksames Compliance- 
Management-System (CMS) etabliert, das an den Prüfungsstandards IDW PS 980 
und ISO 19600 ausgerichtet ist. Die Einhaltung der Standards wurde zuletzt 
2017/2018 überprüft und bestätigt. Seit der Übernahme der Geschäftsanteile an 
der Toll Collect GmbFI durch den Bund ist die Toll Collect GmbFI verpflichtet, 
die Regeln des Public Corporate Govemance Kodex des Bundes zu befolgen und 
diese im Rahmen des Compliance Management zu berücksichtigen. 


6. Welche gesetzgeberischen Maßnahmen- insbesondere im Straf- und Ar¬ 
beitsrecht- zur Verbesserung des Hinweisgeberschutzes, die auch auf 
Toll Collect Anwendung finden, hat die Bundesregierung seit dem 1. Sep¬ 
tember 2018 bereits ergriffen? 

Gegenwärtig befindet sich ein Regierungsentwurf eines Gesetzes zur Umsetzung 
der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechts¬ 
widrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung im parlamen¬ 
tarischen Verfahren. Dieser sieht vor, dass keine rechtswidrige Erlangung, Nut¬ 
zung oder Offenlegung eines Geschäftsgeheimnisses vorliegt, wenn die das Ge¬ 
schäftsgeheimnis erlangende, nutzende oder offenlegende Person zur Aufde¬ 
ckung einer rechtswidrigen Flandlung oder eines beruflichen oder sonstigen Fehl¬ 
verhaltens in der Absicht handelt, das allgemeine öffentliche Interesse zu schüt¬ 
zen. In diesen Fällen liegt ebenfalls keine strafbare Verletzung von Geschäftsge¬ 
heimnissen vor. 


7. Welche weiteren gesetzgeberischen Maßnahmen - insbesondere im Straf- 
und Arbeitsrecht - zur Verbesserung des Hinweisgeberschutzes, die auch auf 
Toll Collect Anwendung finden, plant die Bundesregierung, um den Hin¬ 
weisgeberschutz zu verbessern? 

Derzeit wird auf der Ebene der Europäischen Union der Vorschlag der Kommis¬ 
sion für eine Richtlinie zum Schutz von Personen, die Verstöße gegen das EU- 
Recht melden (2018/0106 final) beraten. Die Bundesregierung begrüßt das mit 
dem Richtlinienvorschlag verfolgte Ziel, den Flinweisgeberschutz in der gesam¬ 
ten Union zu verbessern und so die Durchsetzung des EU-Rechts zu fördern. Die 
Bundesregierung begleitet die Behandlung des Richtlinienvor-schlags in der zu¬ 
ständigen Arbeitsgruppe des Rates der EU sowie die laufenden Trilogverhand- 
lungen. Im Rahmen der Umsetzung der Richtlinie in Deutschland wird über die 
zukünftige Ausgestaltung des Flinweisgeberschutzes zu entscheiden sein. 
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9. Plant die Bundesregierung, Hinweisgeber bei Toll Collect grundsätzlich fi¬ 
nanziell oder anderweitig für durch die gegebenen Hinweise erlittene Nach¬ 
teile (z. B. Vermögensverluste, Jobverlust, keine Rehabilitation, psychische 
und gesundheitliche Schäden, weitere materielle und immaterielle Schäden) 
zu entschädigen, und wenn ja, auf welche Weise, und wenn nein, warum 
nicht? 

10. Plant die Bundesregierung, existenzbedrohende Konsequenzen und Nach¬ 
teile auf dem Arbeitsmarkt für aus Unternehmen ausgeschiedene Hinweis¬ 
geber, und wenn ja, wie, und wenn nein, warum nicht? 

Die Fragen 9 und 10 werden aufgrund ihres Sachzusammenhangs gemeinsam be¬ 
antwortet. 

Es wird auf die Antwort zu Frage 7 verwiesen. 


Datenschutz 

11. In welcher Art und Weise trägt die Bundesregierung dafür Sorge, dass Da¬ 
tenschutz und Datensicherheit der gesamten internen und internen/externen 
Kommunikation sowie aller Daten bei Toll Collect gewährleistet wird? 

Bei der Verarbeitung personenbezogener Daten im Rahmen ihrer Geschäftstätig¬ 
keit ist die Toll Collect GmbFI an die Regelungen der Datenschutzgrundverord¬ 
nung, des Bundesfemstraßenmautgesetzes, des Bundesdatenschutzgesetzes so¬ 
wie des Betreibervertrags, der umfangreiche Regelungen zu Datenschutz und Da¬ 
tensicherheit enthält, gebunden. 

Das Bundesamt für Güterverkehr kontrolliert die Einhaltung dieser Vorgaben, 
wird über die datenschutzrechtlichen Prozesse der Toll Collect GmbFI informiert 
und prüft datenschutzrechtlich relevante Vorgänge auf ihre Zulässigkeit, sofern 
die Toll Collect GmbFI als Beliehene tätig wird. 

Die Toll Collect GmbFI hat zum Schutz der Unternehmensinformationen, zu de¬ 
nen auch die im Unternehmen verarbeiteten Daten gehören, ein Informationssi¬ 
cherheitsmanagementsystem aufgebaut. Dieses orientiert sich an dem etablierten 
internationalen Sicherheitsstandard ISO 27001 und ist nach diesem zertifiziert. 
Die Zertifizierung wird aufrechterhalten und durch regelmäßige Überwachungs¬ 
audits und Rezertifizierungen überprüft. 

Bei der Ausgestaltung technischer und organisatorischer Maßnahmen zur IT-Si- 
cherheit der Daten orientiert sich die Toll Collect GmbFI an den Empfehlungen 
des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sicherheitskon¬ 
zepte werden auf Basis der BSI-Methodik gemäß den BSI-Standards erstellt. 

Zur Sicherstellung des Datenschutzes hat die Toll Collect GmbFI einen Daten¬ 
schutzverantwortlichen etabliert. Die Anforderungen des Datenschutzes an die 
Sicherheit der Informationen und Daten der Toll Collect GmbFI fließen in die 
Sicherheitskonzepte mit ein. 


12. Liegen der Bundesregierung Kenntnisse darüber vor, dass Datenschutz 
und/oder Datensicherheit bei Toll Collect zu irgendeinem Zeitpunkt nicht 
gewährleistet waren? 


Nein. 
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13. Welcher Cyber-Attacken, Hacker-Angriffe o. Ä. auf die Daten und die Da¬ 
teninfrastruktur von Toll Collect sind der Bundesregierung bekannt, welche 
Auswirkungen hatten entsprechende Angriffe auf die Datensicherheit und 
den Datenschutz der bei Toll Collect gespeicherten Daten, und welche Maß¬ 
nahmen wurden jeweils ergriffen, um diese Angriffe abzuwehren? 

Die Toll Collect GmbH ist bislang keinen Cyber-Attacken, Hacker-Angriffen 
o. Ä. ausgesetzt gewesen. Daneben ist die Toll Collect GmbH — wie jedes andere 
Unternehmen - den typischen und zyklisch verstärkt auftretenden IT-Sicherheits- 
gefahrdungen ausgesetzt, bspw. Phishingattacken und Cryptotrojanerangriffen. 
Diese werden durch die bei der Toll Collect GmbH etablierten technischen und 
organisatorischen Maßnahmen abgewehrt. 


14. Inwiefern arbeitet Toll Collect zur Abwehr von Cyber-Attacken, Hacker- 
Angriffe o. Ä. mit dem Bundesamt für Sicherheit in der Infonnationstechnik 
zusammen, welche konkreten Fälle der Zusammenarbeit gab es bisher, und 
ist geplant, dass Toll Collect bei entsprechenden Fällen mit dem Bundesamt 
für Sicherheit in der Infonnationstechnik in Zukunft zusammenarbeitet, und 
wenn ja, inwiefern werden hier Vorbereitungen getroffen? 

Die für die IT-Sicherheit verantwortlichen Mitarbeiterinnen und Mitarbeiter wer¬ 
den regelmäßig hinsichtlich der Erneuerungen und Ergänzungen in den Methodi¬ 
ken und Inhalten des BSI-Grundschutzes geschult. Bei eventuellen gravierenden 
Cyberattacken würde die Toll Collect GmbH das BSI über die durch das BSI 
etablierten Meldewege einbeziehen. 

Im Übrigen wird auf die Antwort zu Frage 11 verwiesen. 
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